本地AD域遷移到 Azure AD，WS1怎么調(diào)整？

現(xiàn)在使用Azure AD的企業(yè)慢慢變多，很多企業(yè)開始準(zhǔn)備將本地AD域搬遷到Azure AD上面去。Workspace ONE中不管是UEM或者是Access都是將本地AD域作為最重要的認(rèn)證和用戶信息來源，AD遷移到AAD必然是對目前架構(gòu)的一次重大調(diào)整。

那么，與之對應(yīng)的，Workspace ONE如何調(diào)整？理一下思路：

1Workspace ONE UEM和Azure AD對接

沒問題，UEM支持將Azure AD作為認(rèn)證源。

2Workspace ONE Access和Azure AD對接

也沒有問題，Access和Azure AD都支持SAML。也就是說，我們可以將Azure AD作為WS1 Access的SAML IDP。

單獨(dú)對接都沒有問題，那么UEM和Access都有的情況呢？

3Workspace ONE UEM 和Access都有，如何和Azure AD對接？

我們需要看一下UEM和Access都存在的情況下，企業(yè)應(yīng)用的場景包括：

• UEM可以利用Access統(tǒng)一認(rèn)證，單點(diǎn)登錄。之前UEM、Access分別和AD同步，兩邊的用戶信息是匹配的。

• 啟用Hub Service，將各個(gè)平臺(tái)（蘋果/安卓/Windows）的Intelligent Hub作為企業(yè)門戶。此時(shí)門戶的應(yīng)用發(fā)布是部分來自于UEM，部分來自于Access。

所以，我們在設(shè)置上會(huì)將注冊時(shí)的認(rèn)證來源選為Workspace ONE Access。

是不是開始有點(diǎn)懵了？

那么是不是UEM和Access分別與AAD對接，就可以了呢？

我曾經(jīng)也這么認(rèn)為，結(jié)果發(fā)現(xiàn)分別對接后兩邊的用戶屬性無法匹配，會(huì)出現(xiàn)一旦將Access作為認(rèn)證源，Hub就無法進(jìn)行正常注冊。

如果將UEM作為認(rèn)證源，Hub可以注冊，但無法獲取到Access發(fā)布的應(yīng)用列表。

貌似是一個(gè)兩難的境地。

突破點(diǎn)是讓兩邊的用戶屬性統(tǒng)一，最合理的方式是：Access把用戶寫入到UEM里面。

事實(shí)上是用戶屬性從AAD→_→Access→_→UEM。

我知道聽起來有點(diǎn)玄幻，但確實(shí)可以做。基于兩點(diǎn)：

1將Azure AD作為WS1 Access的SAML IDP，配置Just in Time用戶，在 用戶登錄Access（其實(shí)是登錄Azure AD）的同時(shí)，把信息寫入Access。

實(shí)現(xiàn)了用戶屬性從AAD→_→Access。

2 利用Airwatch Provisioning APP，實(shí)現(xiàn)用戶屬性從Access→_→UEM。

也就是說在開始時(shí)Azure AD用戶在UEM和Access都是沒有賬戶，更不用說用戶屬性了。

Azure AD用戶要做的就是登錄一次Access，即可完成在Access和UEM的賬戶創(chuàng)建，包括用戶屬性和Azure AD同步。

接下來用戶就可以用Azure AD憑證來注冊設(shè)備，獲取完整的應(yīng)用門戶了！

管理員無需進(jìn)行用戶生命周期管理。只需要負(fù)責(zé)Azure AD的部分就好了。

很好對吧，下面我們來看看如何實(shí)現(xiàn)。

測試環(huán)境準(zhǔn)備：

• Workspace ONE UEM

• Workspace ONE Access

• Microsoft 365 （Azure AD）

如何獲得以上測試環(huán)境我就不寫了。

首先我們利用hub service的向?qū)?，將UEM和Access進(jìn)行集成。這是最簡易的方式，很輕松將UEM和Access集成起來。注意hub注冊認(rèn)證源選擇成Access。

下面我們將Azure AD配置成Access的SAML IDP。

第一步先下載Access的SAML元數(shù)據(jù)，注意此時(shí)Access是作為服務(wù)提供商（SP），所以我們需要下載SP的元數(shù)據(jù)。

第二步，我們需要配置Azure AD。先打開https://aad.portal.azure.com/ 。

選擇Azure Active Directory，創(chuàng)建一個(gè)新的企業(yè)應(yīng)用程序。

選擇最后一項(xiàng)Non-gallery。

授權(quán)用戶，把自己的測試賬戶分配進(jìn)去，要不然沒有授權(quán)，用戶是沒法使用這個(gè)應(yīng)用程序來完成SAML的。

點(diǎn)擊單一登錄，SAML。

設(shè)置基本SAML配置。

實(shí)體ID：剛才Access SP的XML地址。記得設(shè)置成默認(rèn)。

回復(fù)URL：SP.xml里面可以找到。

注銷URL：同上。

添加斷言中的用戶屬性和聲明：

注意這些值會(huì)作為Access的JIT用戶屬性，其中最關(guān)鍵的是ExternalID，是將來配置Airwatch Provisioning APP所必須的，如果沒有則會(huì)造成用戶無法置備到UEM里面去。注意聲明名稱的大小寫。

下載聯(lián)合元數(shù)據(jù)XML。

第三步，我們回到Access界面。

在身份提供程序中點(diǎn)擊添加SAML IDP。

填寫身份提供程序的名稱，綁定協(xié)議HTTP重定向。

SAML 元數(shù)據(jù)就是把剛才從Azure AD下載的聯(lián)合元數(shù)據(jù)XML用編輯器打開，粘貼到框中，點(diǎn)擊處理IDP元數(shù)據(jù)。

用戶識(shí)別方式選為NameID元素，點(diǎn)擊加號兩次，添加：

“urn:oasis:names:tc:1.1:nameid-format:unspecified”映射到 

“userPrincipalName”。

“urn:oasis:names:tc:1.1:nameid-format:emailAddress”映射到

“userPrincipalName”。

選中即時(shí)用戶置備，創(chuàng)建目錄名稱（可以是任意，不一定是FQDN那種）。

選中使用的網(wǎng)絡(luò)范圍，沒有設(shè)置過就選中所有。默認(rèn)是不選的，一定要選中。

身份驗(yàn)證方法自己隨便起名字，SAML上下文是

選中啟用單點(diǎn)注銷配置。

修改訪問策略，根據(jù)實(shí)際情況，本文是修改了default策略。選中所使用剛才自己創(chuàng)建的身份驗(yàn)證名稱。

可以觀察到目錄中多出了一個(gè)即時(shí)目錄，希望你剛才起了一個(gè)容易分辨的名字。

打開另外一個(gè)瀏覽器或者是隱私模式之類的，嘗試用Azure AD用戶來登錄Access。

你會(huì)發(fā)現(xiàn)界面會(huì)自動(dòng)跳轉(zhuǎn)到Azure AD登錄。

登錄完成之后會(huì)發(fā)現(xiàn)該用戶被即時(shí)創(chuàng)建了出來。

注意觀察此時(shí)的用戶屬性，包括了我們的ExternalID，也就是圖中的外部ID。

第四步：配置Airwatch Provisioning APP來做用戶置備。這步還是在Access界面上。

新建Web應(yīng)用，從目錄中選擇Airwatch Provisioning，先不用做任何配置，一路點(diǎn)擊下一步，保存。

回到Web應(yīng)用列表。選中新建出來的Airwatch Provisioning，點(diǎn)擊編輯。會(huì)發(fā)現(xiàn)界面有所變化。出現(xiàn)在置備的相關(guān)內(nèi)容。

點(diǎn)開配置。這里可以采用粘貼XML內(nèi)容的方式來自動(dòng)填寫。XML是來自UEM設(shè)置目錄集成這里導(dǎo)出。

置備選項(xiàng)頁中，可以選擇啟用證書身份驗(yàn)證，或者手動(dòng)輸入的方式。把啟用置備改成“是”。

用戶置備頁面。帶紅色星號的是必須的，可以看到ExternalID（外部ID）的重要性。

組置備可以不配置。

保存并分配給用戶/組即可。稍后可以看到用戶已經(jīng)置備成功。

此時(shí)回到UEM界面，就可以看到置備出來的用戶。

需要說明的是，用戶只需要登錄一次Access即可，并不需要手工點(diǎn)擊Airwatch Provisioning這個(gè)APP，其實(shí)默認(rèn)這個(gè)APP是隱藏，不顯示在用戶門戶中的，因?yàn)闆]必要。

最后一步就可以用設(shè)備來注冊試試看了。

至此我們就完成了WS1的挑戰(zhàn)，和Azure AD的集成。